那些遇到过的问题

如何使用ShaPasswordEncoder正确编码密码?

mis*_*sco 5 java hash spring sha spring-security

我想ShaPasswordEncoder在我的Spring应用程序中使用密码编码.

ShaPasswordEncoder sha = new ShaPasswordEncoder(256);
sha.setIterations(1000);
String hash = sha.encodePassword(password, salt);
Run Code Online (Sandbox Code Playgroud)

但我不应该把它放在那里salt param.它可以是静态短语(例如sT4t1cPhr453),还是每个用户不同的动态字符串(例如用户名或用户ID)?

编辑:

我用户自定义AuthenticationProvider,所以我的安全上下文如下:

<authentication-manager>
   <authentication-provider ref="customAuthenticationProvider" />
</authentication-manager>

<beans:bean id="customAuthenticationProvider" class="com.app.cloud.auth.CustomAuthenticationProvider">

@Component("customAuthenticationProvider")
public class CustomAuthenticationProvider implements org.springframework.security.authentication.AuthenticationProvider {

    @Autowired
    private AuthService authService;

    @Override
    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException,BadCredentialsException {
    //...
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}
Run Code Online (Sandbox Code Playgroud)

Ser*_*mar 12

如果您想明确定义salt,可以定义salt源:

动态盐(基于用户名属性)

<authentication-manager alias="authenticationManager">
    <authentication-provider user-service-ref="userDetailsService">
        <password-encoder hash="sha-256">
            <salt-source user-property="username"/>
        </password-encoder>
    </authentication-provider>
</authentication-manager>
Run Code Online (Sandbox Code Playgroud)

静盐

<authentication-manager alias="authenticationManager">
    <authentication-provider user-service-ref="userDetailsService">
        <password-encoder hash="sha-256">
            <salt-source system-wide="MySalt" />
        </password-encoder>
    </authentication-provider>
</authentication-manager>
Run Code Online (Sandbox Code Playgroud)

推荐的方法

如果您使用的是Spring Security 3.1,建议的方法是使用bcrypt,这会自动生成一个盐并连接它.

<beans:bean id='bCryptPasswordEncoder' class='org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder'/>

<authentication-manager>
  <authentication-provider user-service-ref="userDetailsService">
          <password-encoder ref="bCryptPasswordEncoder"/>
  </authentication-provider>
</authentication-manager>
Run Code Online (Sandbox Code Playgroud)

您可以像这样生成用户密码:

String password = "p4ssword";
PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String encodedPassword = passwordEncoder.encode(password);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

20887 次

最近记录:

12 年,3 月 前
Hudson使用什么密码加密? 4
更多相关链接
相关归档
如何使用Java属性文件? 218
Java SE 6 vs. JRE 1.6 vs. JDK 1.6 - 这些是什么意思? 172
junit中的java.lang.NoClassDefFoundError 72
AWS lambda和Java并发 42
Spring Kafka:记录侦听器与批处理侦听器 9
R中哈希与列表之间的差异 5
Spring MVC 错误:org.springframework.web.bind.annotation.RequestMapping.name()Ljava/lang/String; 5
如何通过Java更新LDAP时指定哈希算法? 3
是否可以在Python 3中使用类作为字典键? 3
依赖注入在Grails服务中不起作用 3
难疑归档
在JavaScript中创建GUID/UUID? 3915
"最小的惊讶"和可变的默认论证 2458
#include <filename>和#include"filename"有什么区别? 2204
什么是移动语义? 1614
如何将NodeJS和NPM更新到下一个版本? 1573
尝试抓住加速我的代码? 1463
如何从文件内容创建Java字符串? 1440
我怎样才能存储特定文件? 1422
\ d效率低于[0-9] 1214
什么是在Vim中评论/取消注释行的快速方法? 1081